„Sorge vor Hacker-Angriffen auf Stromnetze“ titelte im Juli der Generalanzeiger. Der Beitrag bezieht sich inhaltlich auf einen Medienbericht des „Wall Street Journal“, wonach es russische Angreifer bereits seit Jahren auf die Stromversorger abgesehen hätten. Und die könnten „Stromausfälle verursachen, wenn sie wollten – mit womöglich katastrophalen Folgen“. Nun liegt es sicher im Sinn des jeweiligen politischen Betrachters, ob das Ganze ein ausgeklügelter Plan eines anderen Staates samt Geheimdienst ist oder reine Propaganda der US-Administration. Die Wahrheit wird in diesen unruhigen Zeiten wie so oft irgendwo in der Mitte liegen. Sicher ist dagegen eines: Organisationen und Unternehmen aus den Bereichen der kritischen Infrastrukturen sind gefährdet, nicht nur im Energiesektor.

Quer durch alle sensiblen Branchen gilt seit Mai 2015 das IT-Sicherheitsgesetz. Dieses verabschiedete der Gesetzgeber mit dem Ziel, mehr Sicherheit für kritische Infrastrukturen zu erhalten. Nach Lesart des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) sind Infrastrukturen „bedeutsame Versorgungssysteme unserer Gesellschaft. Sie sind nicht nur alltäglichen Störungen und Gefahren, sondern auch Extremereignissen zum Beispiel durch Naturgefahren, technischem oder menschlichem Versagen oder vorsätzlichen Handlungen ausgesetzt.“ Und weiter heißt es beim BBK: „Infrastrukturen sind komplexe Systeme, von denen eine Vielzahl von Versorgungsfunktionen abhängen. Häufig sind Infrastrukturen voneinander abhängig; z.B. ist bei einem Ausfall der Stromversorgung auch die Informations- und Telekommunikationstechnologie betroffen und umgekehrt.“

Von Mindestsicherheitsniveaus und Unsicherheiten

In Verbindung mit der Rechtsverordnung BSI-KritisV werden Betreiber kritischer Infrastrukturen (KRITIS) benannt und gesetzlich verpflichtet ein Mindestsicherheitsniveau für relevante informationstechnische Systeme und Prozesse einhalten. Zu diesen gehören neben dem Energiebereich unter anderem das Finanz- und Versicherungswesen, der Gesundheitsbereich sowie die Informationstechnik und Telekommunikation.

Auf den entsprechenden KRITIS-Seiten heißt es hierzu: „Betreiber Kritischer Infrastrukturen (…) müssen damit künftig ein Mindestsicherheitsniveau an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.“ Mehr noch, gilt es diese Systeme und Prozesse extern prüfen zu lassen. Zertifikatspflichten wurden für diese KRITIS-Betreiber nicht vorgeschrieben, sondern das BSI rief die Betreiber und Verbände der jeweiligen Branche auf, sogenannte branchenspezifische Sicherheitsstandards (B3S) zu entwickeln. Bis dato gibt es diese in den Bereichen Wasser/Abwasser, IT und TK sowie Ernährung. Gleichwohl herrscht unter den vom BSI akzeptierten Prüf- und Zertifizierungsgesellschaften eine gewisse Verunsicherung, wie diese zu prüfen sind. So bietet manche Gesellschaft aus nachvollziehbaren Gründen §8a-Prüfungen nur in Kombination mit einem nativen 27001-Zertifikat an.

Wie kann der Einsatz eines Informations-Sicherheitssystems beim Schutz der Infrastrukturen helfen und welche Rolle spielen hierbei Geschäftsführung und Mitarbeiter? Lesen Sie den vollständigen Artikel auf www.it-daily.net.